Identifiants usurpés, IBAN consultés, service dégradé : après l’attaque, l’administration demande aux Français d’être vigilants face aux escroqueries. Une mécanique désormais bien rodée.

La Direction générale des Finances publiques (DGFiP) reconnaît un incident majeur de cybersécurité : des accès illégitimes ont visé le fichier national des comptes bancaires, le FICOBA. Selon un communiqué de presse daté du 18 février 2026, un acteur malveillant a usurpé les identifiants d’un fonctionnaire disposant d’un accès dans le cadre des échanges d’informations entre ministères. Résultat : des données ont été consultées et extraites. Le chiffre donne l’ampleur du désastre administratif : 1,2 million de comptes bancaires sont concernés.

Le FICOBA n’est pas un répertoire anodin. Il recense l’ensemble des comptes bancaires ouverts dans les établissements bancaires français. La DGFiP précise que ce fichier contient des données à caractère personnel : les coordonnées bancaires (RIB/IBAN), l’identité du titulaire et son adresse. Dans certains cas, l’identifiant fiscal est également présent.

C’est exactement le type d’informations qui transforme une fuite en carburant pour les fraudeurs : ce n’est pas seulement une atteinte à la vie privée, c’est une matière première pour des arnaques opérables, répétables, industrialisables.

Fin janvier 2026 : l’intrusion. Ensuite, la gestion de crise

La DGFiP situe le début de l’attaque “à compter de la fin janvier 2026”. Elle affirme avoir restreint les accès dès la détection afin de stopper l’intrusion, limiter l’ampleur des consultations et extractions, et empêcher toute nouvelle consultation illégitime. Le communiqué contient aussi une phrase qui, en creux, résume l’état réel du système : des travaux sont encore en cours pour “rétablir le service dans les meilleures conditions de protection”. Autrement dit : le service a été affecté, et la remise à niveau sécuritaire est en cours après coup. La cybersécurité, version pompier : on éteint quand ça brûle.

Un IBAN n’est pas une carte bancaire. Il ne permet pas, à lui seul, de vider un compte en claquant des doigts. Mais il sert de point d’ancrage à la fraude moderne : celle qui passe par l’usurpation, la manipulation, la persuasion.

Et l’administration le sait parfaitement, puisqu’elle le dit. La DGFiP alerte sur “de nombreuses tentatives d’escroqueries” qui circulent par courriel ou SMS, visant à obtenir des informations ou des paiements. Elle précise que ces tentatives touchent aussi bien des particuliers que des professionnels.

Le mécanisme est classique : la fuite crée un contexte de panique, la panique crée une fenêtre d’attaque, et les fraudeurs se glissent dans la brèche en se faisant passer pour un service officiel, une banque, un “conseiller sécurité”, une “cellule anti-fraude”, ou une direction administrative. Le tout avec les bons éléments de contexte, puisque les données ont fuité.

Une notification aux autorités, une plainte, et des victimes informées “dans les prochains jours”

Sur le volet institutionnel, la DGFiP indique que ses équipes informatiques sont mobilisées en lien avec le service du haut fonctionnaire de défense et de sécurité (HFDS) du ministère des Finances et avec l’Agence nationale de la sécurité des systèmes d’information (ANSSI). L’incident a été notifié à la Commission nationale de l’informatique et des libertés (CNIL) et une plainte a été déposée.

Pour les usagers, la DGFiP annonce une information individuelle “dans les prochains jours” afin de prévenir que leurs données ont pu être consultées. Elle dit également avoir pris contact avec les établissements bancaires pour sensibiliser les clients à la vigilance.

Il faut mesurer la violence froide de cette séquence : vous apprenez que l’État a perdu le contrôle d’un fichier national, puis on vous demande d’être prudent parce que vous allez probablement être ciblé.

Le communiqué insiste sur plusieurs points : ne pas répondre dans l’urgence à un SMS ou un courriel ; ne jamais transmettre d’identifiants ou de données bancaires en réponse à un message ; en cas de doute, contacter directement son service des impôts via les canaux officiels ; conserver des preuves (messages, captures) en cas de tentative de fraude. Ce n’est pas un simple rappel de prudence : c’est l’anticipation d’une vague d’arnaques structurée autour de l’incident. Quand l’administration écrit cela, elle décrit une menace immédiate, pas une hypothèse abstraite.

Le vrai sujet : l’État centralise, l’attaque suit, la facture revient au citoyen

Dans cette affaire, l’administration met en avant l’usurpation d’identifiants. Le terme est utile, mais il ne doit pas servir d’alibi. Un identifiant volé qui ouvre l’accès à des données aussi sensibles, à une échelle aussi massive, est un échec systémique, pas un simple “incident”.

Le problème, ce n’est pas seulement qu’un fichier soit attaqué. C’est qu’il soit attaquable de cette façon, avec une logique d’accès suffisamment large pour qu’un compte compromis permette de consulter et d’extraire des informations sur 1,2 million de comptes.

On nous promet des parcours numériques toujours plus centralisés, des identités numériques toujours plus intégrées, des échanges de données entre administrations toujours plus fluides. Mais quand la réalité se rappelle au système, la réponse reste la même : un communiqué, une plainte, une notification, puis l’injonction à la vigilance pour ceux qui subissent.

Le pays qui voulait tout numériser découvre que la donnée, une fois sortie, ne rentre jamais vraiment. Et ce sont les Français qui héritent de la conséquence la plus simple, la plus concrète, la plus coûteuse : vivre avec l’idée qu’un fichier d’État peut devenir, du jour au lendemain, la matière première d’une fraude à grande échelle.

Sources : communiqué de presse de la Direction générale des Finances publiques, “Accès illégitimes au fichier national des comptes bancaires (FICOBA)”, 18 février 2026.