Piratage FICOBA : 1,2M de comptes bancaires exposés

Q: Qu'est-ce que FICOBA et quelles données ont fuité ?

FICOBA est le fichier national qui recense tous les comptes bancaires français. Les données exposées incluent les IBAN, l'identité des titulaires, leur adresse et date de naissance. Les soldes et mots de passe n'ont pas été compromis.

Q: Peut-on vider un compte avec un simple IBAN ?

Pas directement. Mais un IBAN combiné à des données d'identité permet des prélèvements frauduleux répétés, comme démontré par le scandale SFAM avec 743 000 victimes.

Q: Comment savoir si je suis concerné ?

La DGFiP a envoyé un email de notification aux 1,2 million de personnes concernées. Vérifiez directement sur impots.gouv.fr.

Q: La liste blanche bancaire est-elle gratuite ?

Oui, c'est un droit garanti par le règlement européen 260/2012. Les banques sont légalement obligées de proposer ce service.

Q: Quel est le lien avec les cryptomonnaies ?

Cette fuite illustre le risque des systèmes centralisés. Les blockchains décentralisées éliminent ce risque en distribuant les données sans fichier central.

📋 En bref (TL;DR)

FICOBA piraté : un attaquant a accédé au fichier national des comptes bancaires français pendant 16 jours (28 janvier – 13 février 2026) en usurpant les identifiants d’un fonctionnaire
1,2 million de comptes exposés : IBAN, identité, adresse, date de naissance, parfois numéro fiscal
Pas d’authentification à deux facteurs sur le compte compromis — une négligence qualifiée de « surréaliste » par les experts
Risque réel : prélèvements frauduleux et ingénierie sociale. La SFAM a prouvé qu’un IBAN suffit pour monter une fraude industrielle (743 000 victimes)
Contexte alarmant : France Travail (43M), Free (19M), Viamedis (33M), données de santé (15M) — la France accumule les méga-fuites sans que la responsabilité suive

La DGFiP a le sens du timing. Le 18 février 2026, Bercy annonce qu’un « acteur malveillant » a accédé à FICOBA — le fichier qui recense l’intégralité des comptes bancaires ouverts en France — pendant 16 jours. L’attaquant a utilisé les identifiants volés d’un seul fonctionnaire. Résultat : 1,2 million de comptes dans la nature, avec IBAN, identité, adresse et date de naissance.

La Banque de France publie dans la foulée un communiqué pour rassurer. La FBF embraye. Le message collectif est d’une cohérence remarquable : un RIB seul ne suffit pas à vider un compte, surveillez vos relevés, activez la liste blanche auprès de votre conseiller. Le genre de conseil qu’on donne à quelqu’un à qui on vient de voler son portefeuille : « vérifiez que votre carte est toujours là. »

Ce que FICOBA contient — et pourquoi c’est grave

FICOBA n’est pas un fichier anodin. C’est le registre national de tous les comptes bancaires français : environ 300 millions de lignes. Comptes courants, épargne, titres, coffres-forts. Pour chaque entrée : coordonnées bancaires (RIB/IBAN), identité complète du titulaire, adresse postale, date et lieu de naissance.

Il ne contient ni les soldes, ni l’historique des transactions. C’est la seule bonne nouvelle. Mais ce qu’il contient est exactement le kit nécessaire pour deux types de fraudes : les prélèvements SEPA frauduleux et l’ingénierie sociale ciblée.

🔓 Anatomie de la fuite FICOBA

16 jours d’accès non détecté au fichier le plus sensible de France

1,2M

Comptes exposés

IBAN + identité + adresse

16 jours

Durée de l’intrusion

28 jan. → 13 fév. 2026

Facteurs d’authentification

Pas de 2FA sur le compte

300M

Lignes dans FICOBA au total

Tous les comptes français

Sources : DGFiP, Banque de France, ANSSI — Février 2026

Comment un seul identifiant volé a suffi

L’attaquant a usurpé les identifiants d’un fonctionnaire ayant accès à FICOBA dans le cadre des échanges inter-administratifs. Probablement via du phishing ciblé ou un logiciel malveillant. Le détail qui fait mal : aucune authentification à deux facteurs n’était en place sur ce compte.

Benoît Grunemwald, expert chez ESET France, qualifie l’incident de « défaillance organisationnelle, pas de vulnérabilité technique ». Le syndicat Solidaires Finances Publiques va plus loin et parle d’une « négligence presque surréaliste à ce niveau de sensibilité ». Le fichier qui recense l’intégralité des comptes bancaires de France, accessible avec un simple login/mot de passe. Pendant 16 jours. Sans que personne ne lève un sourcil.

Le syndicat pointe un problème structurel : les choix politiques ont « privilégié les nouveaux projets informatiques au détriment de la sécurisation des applications critiques comme FICOBA ». Les agents travaillent avec « des outils qu’ils n’ont ni conçus ni choisis, dans un contexte de pénurie de moyens et de réorganisations successives ».

« Un RIB seul ne suffit pas » — vraiment ?

C’est le message officiel. La Banque de France, la FBF et la DGFiP répètent en chœur qu’un IBAN seul ne permet pas de vider un compte. Techniquement, c’est vrai. Mais ce discours tient mal à l’épreuve des faits.

La leçon SFAM : l’IBAN comme arme industrielle

La SFAM (devenue Indexia) a démontré pendant dix ans que des IBAN et quelques données d’identité suffisent à monter une machine à prélèvements frauduleux d’une efficacité industrielle. Le bilan est vertigineux :

743 000 demandes de remboursement non traitées entre 2014 et 2020
382 000 demandes d’annulation ignorées
22 millions d’euros encore dus aux clients fin 2023
561 victimes supplémentaires ont déposé une nouvelle plainte en mai 2025
Le fondateur Sadri Fegaier condamné à 2 ans de prison (16 mois ferme) en décembre 2024 — il a fait appel

La stratégie : des petits montants réguliers, inférieurs à 50 €, avec des libellés trompeurs. Suffisamment discrets pour passer inaperçus pendant des mois. Un IBAN, un nom, une adresse. Exactement les données qui viennent de fuiter de FICOBA.

La leçon Free : l’ingénierie sociale, le vrai danger

Quand Free a laissé fuiter 19 millions de dossiers clients dont 5,1 millions d’IBAN en octobre 2024, le risque principal n’était pas le prélèvement brut. C’était l’ingénierie sociale : un escroc qui appelle, donne votre RIB exact pour « prouver sa bonne foi », et vous demande de valider une opération.

En janvier 2026 — quinze mois après la fuite — une nouvelle vague d’emails personnalisés repartait à l’assaut des boîtes mail des clients Free. Ces données-là ne périment pas. La CNIL a infligé 42 millions d’euros d’amende à Free, pointant une authentification VPN insuffisante et une détection d’anomalies inefficace.

La France, championne des méga-fuites

FICOBA n’est pas un incident isolé. C’est le dernier épisode d’une série qui ne s’arrête plus :

📊 Les méga-fuites de données en France

2024-2026 : une accumulation sans précédent

43M

France Travail

Mars 2024 — Identité + n° sécu — Amende : 5M€

33M

Viamedis / Almerys

Janv. 2024 — N° sécu + assurance — Enquête en cours

19M

Free

Oct. 2024 — 5,1M IBAN + identité — Amende : 42M€

15M

Cegedim Santé

Fin 2025 — Données médicales sensibles — Enquête ouverte

1,2M

FICOBA (DGFiP)

Fév. 2026 — IBAN + identité + adresse — Plainte déposée

Sources : CNIL, presse française — Compilé mars 2026

Le point commun de toutes ces fuites ? Le mode opératoire. À chaque fois, des identifiants d’agents ou de professionnels habilités sont dérobés par phishing ou ingénierie sociale. À chaque fois, l’absence de mesures de sécurité élémentaires — comme la double authentification — est pointée du doigt. À chaque fois, les mêmes recommandations suivent : « soyez vigilants ».

La question des responsabilités

Ce qui devrait scandaliser, c’est la répartition des conséquences. Free a écopé de 42 millions d’euros d’amende pour sa fuite. France Travail : 5 millions. La CNIL peut sanctionner les organismes publics — elle l’a prouvé.

Mais Bercy ? La DGFiP se contente de « porter plainte » contre l’attaquant. Pas un mot sur l’absence de 2FA. Pas de sanction. Et pour cause : quand la CNIL amende un organisme public, l’argent va au Trésor public — c’est-à-dire à la DGFiP elle-même. L’État se paierait une amende à lui-même.

Pendant ce temps, les consommateurs gardent la charge de la preuve, la charge de la vigilance, et le temps perdu à appeler leur banque pour contester un prélèvement jamais autorisé.

Ce que vous pouvez faire concrètement

Si vos données font partie des 1,2 million de comptes exposés (la DGFiP vous a normalement notifié par email), voici les mesures à prendre :

Activez la liste blanche SEPA auprès de votre banque. C’est un droit garanti par le règlement européen 260/2012. Seuls les créanciers que vous désignez pourront prélever votre compte. Les banques ne peuvent pas refuser.
Vérifiez vos relevés chaque semaine. Cherchez les petits prélèvements inhabituels (<50€) avec des libellés inconnus.
Contestez immédiatement tout prélèvement non autorisé. Vous disposez de 8 semaines pour un remboursement sans justification, et de 13 mois pour les prélèvements sans mandat.
Ne validez jamais une opération demandée par téléphone, même si l’interlocuteur connaît votre IBAN et votre adresse.
Signalez toute tentative sur cybermalveillance.gouv.fr ou appelez Info Escroquerie au 0 805 805 817 (gratuit).

Le lien avec la crypto : pourquoi la décentralisation compte

Cette affaire illustre un problème fondamental du système financier centralisé. Un seul point de défaillance — un mot de passe volé — expose 1,2 million de personnes. Un seul fichier centralise l’intégralité des comptes bancaires d’un pays de 68 millions d’habitants.

C’est exactement le type de vulnérabilité que les systèmes décentralisés comme Bitcoin ou Ethereum sont conçus pour éviter. Sur une blockchain, il n’existe pas de fichier central à pirater. Pas de base de données unique contenant les clés de tout le monde. La sécurité ne repose pas sur la vigilance d’un seul fonctionnaire, mais sur la cryptographie mathématique distribuée.

Ce n’est pas un argument pour abandonner le système bancaire traditionnel. C’est un argument pour comprendre pourquoi la diversification — y compris vers des actifs crypto — constitue aussi une forme de protection contre le risque de concentration des données.

📚 Glossaire

FICOBA : Fichier national des Comptes Bancaires et Assimilés. Base de données gérée par la DGFiP qui recense l’ensemble des comptes bancaires ouverts en France (environ 300 millions d’entrées).
FBF : Fédération Bancaire Française. Organisation professionnelle qui représente les banques en France.
Prélèvement SEPA : système de prélèvement automatique standardisé dans toute l’Europe. Un créancier disposant d’un ICS (Identifiant Créancier SEPA) peut initier un prélèvement sur un compte en connaissant uniquement l’IBAN.
Phishing : technique d’arnaque consistant à se faire passer pour un organisme de confiance (banque, administration) afin de dérober des informations personnelles ou identifiants de connexion.
Ingénierie sociale : manipulation psychologique visant à tromper une personne pour obtenir des informations confidentielles ou la pousser à effectuer une action (valider un virement, communiquer un code).
SFAM / Indexia : courtier en assurance condamné pour pratiques commerciales trompeuses. A utilisé des IBAN pour effectuer des centaines de milliers de prélèvements frauduleux entre 2014 et 2020.
CNIL : Commission Nationale de l’Informatique et des Libertés. Autorité française de protection des données personnelles, chargée de faire respecter le RGPD.
Bitcoin : première cryptomonnaie décentralisée, fonctionnant sur une blockchain publique sans point central de défaillance.
Ethereum : blockchain programmable permettant l’exécution de smart contracts et d’applications décentralisées.
Blockchain : registre numérique décentralisé et distribué, où la sécurité repose sur la cryptographie plutôt que sur un tiers de confiance.

❓ Questions Fréquentes

Qu’est-ce que FICOBA et quelles données ont fuité ?

FICOBA est le fichier national qui recense tous les comptes bancaires ouverts en France. Les données exposées incluent les IBAN, l’identité des titulaires, leur adresse et leur date de naissance. Les soldes et mots de passe n’ont pas été compromis.

Peut-on vider un compte avec un simple IBAN ?

Pas directement. Mais un IBAN combiné à des données d’identité permet de mettre en place des prélèvements frauduleux répétés, comme l’a démontré le scandale SFAM avec 743 000 victimes. Le risque principal est l’ingénierie sociale : un escroc qui utilise vos données pour gagner votre confiance.

Comment savoir si je suis concerné ?

La DGFiP a envoyé un email de notification aux 1,2 million de personnes concernées. Attention : les escrocs peuvent exploiter cette situation pour envoyer de faux emails de notification. Vérifiez directement sur impots.gouv.fr.

La liste blanche bancaire est-elle gratuite ?

Oui, c’est un droit garanti par le règlement européen 260/2012. Les banques sont légalement obligées de proposer ce service. Certaines facturent toutefois des frais par ajout de créancier. UFC-Que Choisir confirme que les banques ne peuvent pas refuser la mise en place d’une liste blanche.

Quel est le lien avec les cryptomonnaies ?

Cette fuite illustre le risque des systèmes centralisés : un seul point de défaillance expose des millions de personnes. Les blockchains décentralisées éliminent ce risque en distribuant les données sans fichier central. En savoir plus : La blockchain expliquée simplement

📚 Sources

Cet article s’appuie sur les sources suivantes :

Ministère de l’Économie — Communiqué officiel sur l’accès illégitime à FICOBA
Banque de France — Recommandations suite à la fuite FICOBA
Solidaires Finances Publiques — Analyse critique du syndicat de la DGFiP
Clubic — Analyse d’expert cybersécurité (ESET France)
CNIL — Sanction de 42M€ contre Free pour la fuite de données
France Bleu — Verdict du procès SFAM/Indexia

Comment citer cet article :
Fibo Crypto. (2026). Piratage de FICOBA : 1,2 million de comptes bancaires exposés, et un problème bien plus profond. Consulté sur https://fibo-crypto.fr/blog/piratage-ficoba-comptes-bancaires-fuite-donnees-france