La DGFIP a détecté un accès illégitime au fichier national des comptes bancaires (FICOBA) qui a permis de consulter les données de 1,2 million de comptes depuis fin janvier 2026. Les données exposées comprennent les coordonnées bancaires (RIB/IBAN), l'identité des titulaires, leur adresse postale et, dans certains cas, leur identifiant fiscal.
FICOBA recense tous les comptes bancaires ouverts dans les établissements français. Il s'agit de l'une des bases de données financières les plus sensibles de l'État, normalement accessible uniquement aux agents habilités dans des cadres stricts. Une violation de cette ampleur est donc sans précédent.
Dans un communiqué de pressele ministère de l’Économie tempère à sa manière quant au sérieux immédiat : « l'accès au contenu du compte ne semble pas affecté ». Les soldes et historiques de transactions n’auraient pas été atteints, ce qui réduit le risque de détournement direct de fonds, sans pour autant l’éliminer.
Vol par vol d'identifiants
L’acteur malveillant n’a pas contourné un pare-feu ni exploité une faille technique : il a usurpé les identifiants d’un fonctionnaire ayant un accès légitime à la FICOBA dans le cadre d’échanges d’informations interministériels. Autrement dit, il s'est authentifié avec des informations d'identification valides, ce qui rend la détection structurellement plus difficile et soulève des questions sur les mécanismes de surveillance de l'accès aux bases de données sensibles de l'État.
Une fois l’intrusion identifiée par les équipes de la DGFIP, des mesures de restriction d’accès ont été déployées pour stopper l’attaque et limiter le volume de données extraites. Le ministère indique dans son communiqué que ces mesures visaient à « stopper l’attaque, limiter l’étendue des données consultées et extraites de cette base de données ».
Les Français recevront une notification
La gestion de l'incident mobilise simultanément les équipes informatiques de la DGFIP, le service du haut fonctionnaire de défense et de sécurité (HFDS) du ministère des Finances, et l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Leur mission couvre à la fois le traitement de l'incident en cours et le renforcement de la sécurité du système d'information pour éviter toute récidive.
Sur le plan réglementaire, l'incident a été notifié à la Commission Nationale de l'Informatique et des Libertés (CNIL), conformément aux obligations du RGPD en matière de violations de données personnelles. Une plainte a également été déposée.
Les 1,2 million de personnes concernées recevront dans les prochains jours une notification individuelle pour les informer que leurs données ont pu être consultées. Les établissements bancaires ont également déjà été contactés et sont invités à sensibiliser leurs clients à la vigilance.
Ce dernier point est crucial : les données exposées (IBAN, identité et adresse) constituent un profil suffisamment complet pour alimenter des campagnes de phishing ciblées ou des tentatives de fraude par usurpation d'identité. Le risque n’est pas tant le transfert frauduleux immédiat que la vague d’arnaques qui pourrait s’ensuivre dans les semaines à venir.
