Mercredi 18 février, la DGFiP a annoncé un accès illégitime à 1,2 million de comptes bancaires. Cette faille a permis à un « acteur malveillant » de s'introduire dans des données sensibles, illustrant une nouvelle fois les lacunes en matière de cybersécurité au sein des institutions gouvernementales. Selon des sources du ministère de l'Économie, des mesures de prévention doivent être mises en place afin de fortifier la sécurité des données.
Que s'est-il passé ?
Fin janvier 2026, un individu a usurpé les identifiants d'un fonctionnaire ayant accès à des informations confidentielles entre ministères. Cet accès lui a permis de consulter « une partie » du Fichier national des comptes bancaires (Ficoba).
Pour l'heure, l'identité de cet individu reste inconnue, soulevant des interrogations quant à la possibilité d'une implication plus large d'un groupe organisé, comme l'ont montré d'autres cas de piratage dans le passé.
Qu'est-ce que le Ficoba ?
Le Ficoba est une base de données recensant tous les comptes bancaires ouverts dans les établissements financiers français, totalisant plus de 300 millions de comptes.
Quelles données ont été compromises ?
Le Ficoba contient des informations personnelles et sensibles, y compris les coordonnées bancaires complètes, l’identité du titulaire, son adresse, et parfois même son identifiant fiscal, rendant ainsi la situation particulièrement critique.
Qui sont les victimes ?
Bien que 1,2 million de comptes aient été exposés, cela ne signifie pas nécessairement que chaque compte corresponde à une personne distincte. Le ministère a promis de mobiliser des efforts pour clarifier les détails de cette affaire et contacter les victimes dans les jours à venir.
Quelles actions ont été entreprises par la DGFiP ?
Dès que l’incident a été détecté, des restrictions d'accès ont été instaurées pour contenir l'attaque. Un dépôt de plainte a été effectué, et des organismes tels que l'ANSSI et la CNIL travaillent en collaboration pour mener l'enquête. Le haut fonctionnaire de défense et de sécurité (HFDS) est également impliqué dans cette démarche.
Quels risques pour les personnes touchées ?
Les individus concernés font face à des risques accrus de phishing sophistiqué, tenter de les persuader qu'ils doivent de l'argent à une institution officielle. La présence de données bancaires comme le RIB et l'IBAN accroît les menaces. La Fédération bancaire française conseille une vigilance accrue lors de la vérification des transactions sur les comptes pour éviter d'éventuels prélèvements frauduleux.
Cette situation illustre les enjeux cruciaux en matière de cybersécurité. Les experts insistent sur la nécessité de réévaluer et de renforcer les protocoles de sécurité pour éviter que de telles intrusions ne se reproduisent. Une condamnation générale voit le jour face à ces failles dans la protection des données personnelles, un sujet d'une importance grandissante au sein de notre société numérique.
