Un fonctionnaire. Des identifiants usurpés. Trois semaines d'accès silencieux. Le 18 février 2026, le ministère de l'Économie a officiellement reconnu qu'un acteur malveillant avait consulté les données de 1,2 million de comptes bancaires français via FICOBA, le Fichier national des comptes bancaires et assimilés, géré par la Direction générale des finances publiques. L'attaque a débuté fin janvier 2026. Elle n'a pas été détectée immédiatement. Elle a duré.
Ce n'est pas le solde de vos comptes qui a été volé. FICOBA ne contient pas cette information. Ce qui a été extrait est à la fois plus modeste et plus dangereux sur le long terme : nom, prénom, adresse postale, RIB, IBAN, et dans certains cas l'identifiant fiscal de l'usager. Un kit complet pour fabriquer des arnaques personnalisées à grande échelle.
Le registre bancaire de la France, une infrastructure critique méconnue du grand public
FICOBA existe depuis 1982. Il recense, depuis cet arrêté fondateur du 14 juin 1982, l'ensemble des comptes bancaires, comptes d'épargne, comptes-titres et coffres-forts ouverts dans les établissements français. Il recense également depuis septembre 2020 les coffres-forts loués. La CNIL indiquait en 2018 que le fichier répertorie 80 millions de personnes physiques, françaises ou étrangères, détenant un compte en France. Les données sont conservées jusqu'à 10 ans après la clôture d'un compte.
Le fichier est géré par la DGFiP et accessible uniquement à des personnes habilitées par la loi : agents de l'administration fiscale, douanes, TRACFIN, Autorité des marchés financiers, magistrats, officiers de police judiciaire, notaires dans le cadre de successions, commissaires de justice. Il est aussi accessible via une API sécurisée pour les administrations partenaires, avec un quota de 200 appels par minute par partenaire selon data.gouv.fr. C'est précisément cette architecture d'accès inter-ministériel qui a été exploitée.
Depuis le 6 janvier 2025, les particuliers peuvent eux-mêmes consulter leurs données FICOBA via leur espace personnel sur impots.gouv.fr. Une ouverture bienvenue en théorie. Une complexification de la surface d'attaque en pratique.
La guerre des flux, l'usurpation d'identité comme vecteur d'entrée
L'attaque ne ressemble pas à un piratage de type brute force sur les systèmes de la DGFiP. Ce serait trop coûteux, trop visible. Le vecteur choisi est plus élégant et bien plus difficile à détecter. Un fonctionnaire habilité à consulter FICOBA dans le cadre des échanges d'information inter-ministériels s'est fait voler ses identifiants. Avec ces credentials, l'acteur malveillant s'est connecté normalement, sans déclencher d'alarme. Il s'est comporté comme un agent légitime. Combien de temps a-t-il fallu à la DGFiP pour détecter l'anomalie ? Le ministère ne le précise pas.
Ce vecteur d'attaque porte un nom : credential stuffing ou phishing ciblé sur agent public. Il est documenté depuis des années par l'ANSSI comme l'un des vecteurs les plus efficaces contre les systèmes d'information de l'État. Le rapport annuel de l'ANSSI pour 2024 identifiait l'ingénierie sociale ciblée sur agents comme la première porte d'entrée dans les systèmes gouvernementaux, représentant plus de 60% des compromissions initiales dans le secteur public. Les protections techniques de FICOBA n'ont pas été contournées. C'est l'humain qui a cédé.
L'inertie, pourquoi ce type d'attaque sera plus fréquent, pas moins
La surface d'attaque s'agrandit mécaniquement. Plus l'État numérise ses services et ouvre des accès inter-administrations, plus le nombre d'agents habilités à des fichiers sensibles augmente. Plus ce nombre augmente, plus la probabilité qu'un identifiant soit compromis à un moment ou à un autre est élevée. C'est une loi probabiliste, pas une hypothèse.
La parade existe. Elle s'appelle authentification à double facteur, MFA pour Multi-Factor Authentication. Elle est obligatoire depuis 2023 pour les accès aux services de l'État sensibles selon la politique de sécurité des systèmes d'information de l'État (PSSIE). Son déploiement réel reste inégal selon les administrations. La question que personne ne pose publiquement : FICOBA disposait-il d'une authentification MFA opérationnelle sur les accès inter-ministériels au moment des faits ? Le communiqué de Bercy ne le précise pas.
Par ailleurs, les données volées ne se périment pas. Un IBAN couplé à une identité et une adresse reste exploitable des mois, voire des années après son extraction. Le risque n'est pas ponctuel. Il est structurel et durable.
L'analyse transversale, le vrai danger n'est pas le virement mais l'ingénierie sociale
La DGFiP a pris soin de préciser que FICOBA ne permet pas de consulter les soldes ni d'effectuer des opérations. Bercy veut rassurer. C'est techniquement exact. Mais c'est une réassurance partielle.
Ce que permet un RIB couplé à un nom, une adresse et un identifiant fiscal, c'est fabriquer des communications frauduleuses d'une crédibilité redoutable. Votre banque vous envoie un message avec votre nom, votre agence, votre IBAN exact, vous demandant de confirmer une opération ou de mettre à jour vos données. Vous avez toutes les raisons de le croire légitime. C'est la base du phishing de deuxième génération, dit spear phishing, le phishing ciblé par opposition au phishing de masse.
L'arnaque au faux conseiller bancaire, qui représentait 500 millions d'euros de préjudice en France en 2023 selon la Banque de France, repose exactement sur ce mécanisme. Les données extraites de FICOBA permettent d'industrialiser cette fraude à grande échelle, avec une personnalisation qui démultiplie les taux de conversion. Mille fois 1 200 victimes potentielles.
Red Team, les angles morts que Bercy ne précise pas
Premier angle mort. Le chiffre de 1,2 million est celui avancé par l'administration dans son propre communiqué, et les investigations sont toujours en cours. Comme le souligne le site Clubic dans son analyse du 18 février 2026, le périmètre réel pourrait être plus important. La DGFiP a coupé l'accès dès détection, mais elle ne sait pas avec certitude combien de consultations ont eu lieu avant que l'anomalie ne soit repérée.
Deuxième angle mort. Qui est l'acteur malveillant ? Le communiqué de Bercy utilise délibérément un terme générique. État étranger ? Groupe criminel organisé ? Acteur hybride combinant les deux ? La distinction est stratégiquement majeure. Un groupe criminel cherche à monétiser les données par la fraude. Un acteur étatique peut avoir un objectif de cartographie, de renseignement financier, ou de préparation à une opération ultérieure d'une toute autre nature. Une plainte a été déposée et l'ANSSI est mobilisée. Ni l'un ni l'autre n'annonce l'attribution.
Troisième angle mort. FICOBA n'est pas le seul fichier de ce type. FICOVIE, le Fichier national des contrats d'assurance-vie et de capitalisation, géré par la même DGFiP, contient des données encore plus sensibles sur le patrimoine des Français. Il repose sur la même architecture d'accès. La question de sa robustesse se pose légitimement, même si rien n'indique qu'il ait été touché.
Conséquences stratégiques
L'incident FICOBA n'est pas une anomalie. C'est un signal. L'État français a ouvert progressivement ses fichiers administratifs sensibles à des accès inter-ministériels et à des API partenaires pour améliorer l'efficacité des services publics. C'est une décision rationnelle. Elle a un coût : chaque accès légitimé est une surface d'attaque potentielle.
Pour les décideurs, deux horizons temporels méritent attention. À court terme, les 1,2 million de comptes concernés vont recevoir une notification individuelle dans les prochains jours. La période qui suit cette notification sera à haut risque de phishing. Les fraudeurs savent que des victimes potentielles ont été alertées, et vont exploiter cette fenêtre d'attention et d'inquiétude. Un message d'alerte de votre banque dans ce contexte est précisément la meilleure opportunité pour un spear phishing efficace.
À moyen terme, la question de l'authentification renforcée sur les accès à des fichiers de niveau FICOBA n'est plus optionnelle. Elle est systémique. L'État qui numérise ses services sans durcir en parallèle l'authentification de ses agents ouvre des portes à une vitesse supérieure à celle à laquelle il construit ses murs.
Les données bancaires des Français ne sont pas entrées dans une base criminelle. Elles y circulent déjà. Ce qui a changé ce 18 février, c'est que l'État l'a officiellement reconnu.
Cédric Pellicer